情報セキュリティマネジメント 平成29年秋期 午前問2

午前問2

組織がJIS Q 27001:2014(情報セキュリティマネジメントシステム−要求事項)への適合を宣言するとき,要求事項及び管理策の適用要否の考え方として,適切なものはどれか。

分類

テクノロジ系 » セキュリティ » 情報セキュリティ管理

正解

解説

JIS Q 27001では、組織がこの規格への適合を宣言する場合には、箇条4〜箇条10に規定するいかなる要求事項の除外も認められないとしています。箇条4〜箇条10で規定されているのは、4.組織の状況、5.リーダーシップ、6.計画、7.支援、8.運用、9.パフォーマンス評価、10.改善に関する汎用的な要求事項です。
したがって箇条4〜箇条10の要求事項については「全ての適用が必要である」が適切です。

付属書Aは管理目的及び管理策の包括的なリストです。利用者は自組織の管理策を決定する際に、この付属書Aや他の管理策集から選定することができ、また、個々の要求に合わせて新しい管理策を導入することもできます。利用者には管理策の見落としがないように付属書Aを参照することが求められていますが、すべての管理策を実施することは要求されておらず、正当な理由があれば付属書Aの管理策を除外することができます。
したがって付属書Aの管理策については「妥当な理由があれば適用除外できる」が適切です。

適切な組合せである「イ」が正解です。
© 2015-2019 情報セキュリティマネジメント試験ドットコム All Rights Reserved.

Pagetop